Freitag, 3. November 2006
Total loss of ping
Ein Kunde hatte sich in den letzten Tagen mehrmals seinen Rootserver von uns rebooten lassen, in verschiedene Kernel, die er selbst installiert hatte.
Wir hatten uns bei seinen mehrmaligen Anfragen wenig Gedanken gemacht, es hieß immer sehr konkret
Nun wünschte der Kunde sich explizit, dass er mit mir sprechen kann. Er hat sich bei mir darüber beklagt, dass man seine Mails nicht aufmerksam lesen würde, schließlich hatte er ja angegeben, dass das Anpingen des Servers nicht funktionieren würde, und wir hätten bemerken müssen, dass das auch nach dem Reboot nicht klappt.
Ich habe ihm gesagt, dass das Anpingen eines Servers für uns nicht zur standardmässigen Erfolgskontrolle eines manuellen Reboots gehört, denn mehr als die Hälfte aller Kunden deaktivieren Pings oder beschränken sie auf gewisse IP-Netze. Wir betrachten dagegen lieber die Boot-Meldungen. Sofern dort nichts Auffälliges steht, gehen wir von einem erfolgreichen Reboot aus und hoffen hier darauf, dass unser Kunde uns im Nicht-Erfolgsfall aktiv informiert.
Nun bat er mich aber, dass ich mir das selbst ansehe, was ich auch getan habe. Und was war? Die Firewall-Regeln waren so hart, dass man damit 100%ige Server-Sicherheit erreicht. Nicht mal Pings von innen nach außen hat er durchgelassen, ganz zu schweigen von DNS-Abfragen etc. Ich habe es ja nicht schon vorhergesagt, oder?
Wir hatten uns bei seinen mehrmaligen Anfragen wenig Gedanken gemacht, es hieß immer sehr konkret
Bitte in Kernel XYZ bootenoder auch ein
Knöpfchen drücken sollte reichen!was wir ganz normal durchgeführt haben. Normalerweise ist damit die Sache erledigt.
Nun wünschte der Kunde sich explizit, dass er mit mir sprechen kann. Er hat sich bei mir darüber beklagt, dass man seine Mails nicht aufmerksam lesen würde, schließlich hatte er ja angegeben, dass das Anpingen des Servers nicht funktionieren würde, und wir hätten bemerken müssen, dass das auch nach dem Reboot nicht klappt.
Ich habe ihm gesagt, dass das Anpingen eines Servers für uns nicht zur standardmässigen Erfolgskontrolle eines manuellen Reboots gehört, denn mehr als die Hälfte aller Kunden deaktivieren Pings oder beschränken sie auf gewisse IP-Netze. Wir betrachten dagegen lieber die Boot-Meldungen. Sofern dort nichts Auffälliges steht, gehen wir von einem erfolgreichen Reboot aus und hoffen hier darauf, dass unser Kunde uns im Nicht-Erfolgsfall aktiv informiert.
Nun bat er mich aber, dass ich mir das selbst ansehe, was ich auch getan habe. Und was war? Die Firewall-Regeln waren so hart, dass man damit 100%ige Server-Sicherheit erreicht. Nicht mal Pings von innen nach außen hat er durchgelassen, ganz zu schweigen von DNS-Abfragen etc. Ich habe es ja nicht schon vorhergesagt, oder?
Trackbacks
Trackback-URL für diesen Eintrag
Keine Trackbacks
Kommentare
Ansicht der Kommentare:
(Linear | Verschachtelt)
Aber so war der Server wenigstens wirklich sicher. Noch sicherer wäre er nur geworden, wenn das LAN-Kabel entfernt worden wäre.
bestimmt hat er in den iptables das standardverhalten für die Paketprüfungen von Accept auf Reject gestellt - und dann einfach keine ausnahmeregeln wann es doch gehen sollte eingetragen 
Leider spricht gegen diese Argumentation, dass der Server mit exakt denselben Rules sowohl bereits zuvor gelaufen ist als auch mittlerweile wieder damit läuft. Vielleicht hätte ein genauer Blick darauf gereicht, festzustellen, dass Pings eben doch sowohl empfangen als auch versendet werden können.
Wer sich davon selbst überzeugen will, kann gerne hierauf einen Blick werfen:
http://manitu.magkes.de/
Im Übrigen halte ich ein DROP bzw. REJECT nicht für sinnvoll für ICMP-Pakete, egal welche Dienste ein Server bereitstellt.
Zukünftig werde ich explizit erwähnen, dass zur Prüfung der Erreichbarkeit gepingt werden kann. Vielleicht lassen sich solche Missverständnisse künftig vermeiden.
Per Mail schrieb mir im Übrigen ein Supporter, der Kernel sei das Problem gewesen:
> Ihr Server war mit dem 2.6.17.11-Kernel auch nicht einsetzbar.
Im Blogbeitrag schreiben Sie, es lag an den FW-Rules.
Sehr seltsam ...
Wer sich davon selbst überzeugen will, kann gerne hierauf einen Blick werfen:
http://manitu.magkes.de/
Im Übrigen halte ich ein DROP bzw. REJECT nicht für sinnvoll für ICMP-Pakete, egal welche Dienste ein Server bereitstellt.
Zukünftig werde ich explizit erwähnen, dass zur Prüfung der Erreichbarkeit gepingt werden kann. Vielleicht lassen sich solche Missverständnisse künftig vermeiden.
Per Mail schrieb mir im Übrigen ein Supporter, der Kernel sei das Problem gewesen:
> Ihr Server war mit dem 2.6.17.11-Kernel auch nicht einsetzbar.
Im Blogbeitrag schreiben Sie, es lag an den FW-Rules.
Sehr seltsam ...
Interessant aber, dass ich mit eigenen Augen gesehen habe, dass von der Konsole aus ein
$ ping IRGENDWAS
nicht ging, und erst, nachdem wir die Firewall-Chains allesamt gelöscht und die Policies auf ACCEPT gesetzt hatten
$ ping IRGENDWAS
nicht ging, und erst, nachdem wir die Firewall-Chains allesamt gelöscht und die Policies auf ACCEPT gesetzt hatten
Wenn man an den Firewallregeln rumfuchst macht man doch eigentlich sowas wie ein `lade neue regeln; sleep 60; lade alte regeln &`, einfach um sicher zu gehen, dass man sich aus seiner Box nicht aussperrt?
Hi,
Irgendjemand hat mal gesagt, der einzig wirklich sichere Computer sei einer, der abgeschaltet und in einem Tresor eingeschweißt ist und sich damit auf dem Grund des Ozeans befindet. Vielleicht sollte ich den Gedanken noch ein wenig fortführen: Der einzig wirklich absolut nachweisbar 100% sichere Computer ist einer, der gar nicht existiert. Vielleicht solltet ihr solche Server anbieten. Das erspart immerhin die Anschaffungskosten
An den Firewallregeln herumzubasteln ist nicht trivial. Ein entsprechender Service Eurerseits, gegen Vergütung, wäre vielleicht ein nützliches Nebeneinkommen. Allerdings, um Sowas wirklich so sicher wie möglich zu machen, muß das Jemand Vollzeit machen. Denn dazu gehört ständiges Mitlesen in den einschlägigen Foren, so daß man schon von heraufziehenden Gefahren weiß, bevor diese einschlagen. Ich habe Sowas mal zwei Jahre lang für eine Firma in Brasilien gemacht und weiß, wovon ich spreche. Der Job ist mit 8 Stunden am Tag noch lange nicht erledigt. Und nur mit ausgefuchsten Methoden und darauf abgestimmten Tools ist es möglich, mit der rasanten Entwicklung auf diesem Gebiet Schritt zu halten.
In den meisten Fällen sollte allerdings stattdessen auch einfach ein regelmäßiges Backup und regelmäßige Kontrolle reichen
Irgendjemand hat mal gesagt, der einzig wirklich sichere Computer sei einer, der abgeschaltet und in einem Tresor eingeschweißt ist und sich damit auf dem Grund des Ozeans befindet. Vielleicht sollte ich den Gedanken noch ein wenig fortführen: Der einzig wirklich absolut nachweisbar 100% sichere Computer ist einer, der gar nicht existiert. Vielleicht solltet ihr solche Server anbieten. Das erspart immerhin die Anschaffungskosten
An den Firewallregeln herumzubasteln ist nicht trivial. Ein entsprechender Service Eurerseits, gegen Vergütung, wäre vielleicht ein nützliches Nebeneinkommen. Allerdings, um Sowas wirklich so sicher wie möglich zu machen, muß das Jemand Vollzeit machen. Denn dazu gehört ständiges Mitlesen in den einschlägigen Foren, so daß man schon von heraufziehenden Gefahren weiß, bevor diese einschlagen. Ich habe Sowas mal zwei Jahre lang für eine Firma in Brasilien gemacht und weiß, wovon ich spreche. Der Job ist mit 8 Stunden am Tag noch lange nicht erledigt. Und nur mit ausgefuchsten Methoden und darauf abgestimmten Tools ist es möglich, mit der rasanten Entwicklung auf diesem Gebiet Schritt zu halten.
In den meisten Fällen sollte allerdings stattdessen auch einfach ein regelmäßiges Backup und regelmäßige Kontrolle reichen
Ihr schaut meiner Maschine beim booten zu?
nackt fühl
Hey! Das ist peinlich! Lasst das
nackt fühl
Hey! Das ist peinlich! Lasst das
IPv4 vs. IPv6
Du bist hier via
Suche
Ökostrom
Kalender
Kommentare
Mi, 16.05.2012 22:40
Das ist ein Honeypot!
Sobald
ein Zugriff auf diese IP Adres
se erfolgt wird dem nachgegang
en.
zu SIGwas?
Mi, 16.05.2012 21:37
Und ich dachte, die Packung is
t von der PCISIG entworfen.. (
Package and Containers Industr
y Special Interest Group [...]
zu Akamai tot?
Mi, 16.05.2012 20:51
Wie kann man auf die Idee komm
en das...
1. tagsüber und
2.
vor einem Feiertag zu machen?
Unglaublich...
Ic [...]
zu SIGwas?
Mi, 16.05.2012 18:19
Nein wir sind noch immer traur
ig darüber dass die Firma aufg
eteilt wurde 
Mi, 16.05.2012 17:43
und einmal aus München mit (ec
htem) Balulicht ...
http://ww
w.ehrl-sicherheit.de/webseite/
img/neu2942GER5B.jpg
zu SIGwas?
Mi, 16.05.2012 11:30
Wenn das MHD abläuft bekommst
du ein SIGTERM. Wenn du dann e
in paar Tage später dran riech
st ein SIGILL und nach d [...]
zu SIGwas?
Mi, 16.05.2012 10:15
SIG stellt den Combiblock (ein
Konkurenzprodukt zum Tetrapac
k) her und ja, das ist die gle
iche Firma, die mal mit [...]
